×

ARP攻击防范技术
  

ztbf 1841

{{ttag.title}}
ARP攻击防范技术
一  防ARP地址欺骗
特性简介
设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,防地址欺骗可以通过ARP报文和ARP表中的相关表项对比,对ARP表项的某些字段不允许修改的方式防止ARP欺骗。
实现方式
防地址欺骗有两种方式:1)主动确认方式进行ARP学习;2)锁定方式防表项更新,在第一次学习到ARP表后不允许再更新表项。
主动确认方式进行ARP学习
在第一次学习ARP时,当收到用户的更新ARP请求,暂时不更新本地的ARP表,先向用户发送一个ARP请求,如果用户回应该请求,则学习此用户的ARP,否则不学习该用户的ARP。
注:主动确认方式的ARP学习目前有一个缺陷,参见主动确认方式的ARP学习缺陷。
锁定方式防止ARP更新
当用户第一次学习到ARP后,锁定ARP表项的某些字段或全部字段,不允许更新ARP表项。包括两种锁定方式:1)fixed-mac方式,不允许更新MAC和IP,可以更新端口、VLAN等其他信息;2)fixed-all方式,全部不允许更新,包括ARP的老化时间都不允许更新

二 防ARP网关冲突
特性简介
当设备作为网关时,ARP网关冲突检查可以防止用户仿冒网关的IP,非法修改网关和网络内其他用户的ARP表项。
实现方式
当交换机使能防ARP网关冲突时,下发一条ACL规则将ARP报文全部上送,通过软件转发。
当CPU收到ARP报文时,比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同,如果相同,则为用户仿冒网关IP,丢弃此ARP报文,记录日志并发送告警。同时下发一个ACL,丢弃该用户的ARP报文,此ACL的有效时间为3分钟,3分钟后删除此ACL规则


三  动态ARP检测(DAI)
  特性简介
Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项,检查收到的ARP报文的合法性,如果ARP报文和DHCP SNOOPING绑定表的内容一致,则允许此用户的ARP报文通过,否则丢弃该ARP报文。
防止ARP中间人攻击,可以配置ARP报文检查功能,对接口或VLAN下收到的ARP报文和绑定表进行匹配检查,当报文的检查项和绑定表中的特征项一致时,转发该报文,否则丢弃报文。
同时可以配置告警功能,当丢弃的报文数超过限制的阈值时,发出告警信息。


  1  软件方式DAI
软件方式DAI是将ARP报文通过软件转发,在转发过程中判断报文的合法性。
当VLAN使能DAI时,下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层,查找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配,主要检查ARP报文的源MAC、源IP、报文入端口、VLAN(可以包括内层VLAN和外层VLAN)是否和DHCP SNOOPING绑定表匹配,如果完全匹配,允许报文转发,否则丢弃该报文。匹配的选项可以配置。


   2  硬件方式DAI
硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性,检查的内容和通过软件检查一致,也可配置。
当DHCP SNOOPING用户上线后,通知DAI模块。DAI模块将用户表项中的源MAC、源IP、VLAN信息,加上匹配ARP协议,组装成一条ACL规则,下发到芯片中。
当ARP报文从某个端口进入芯片时,通过下发的ACL规则去匹配,如果匹配到,说明发送这个ARP报文的用户是合法的,允许该ARP报文转发,当下发的用户ARP ACL不能匹配时,该用户是非法的,通过匹配该端口下的默认ACL规则丢弃报文(该规则在端口使能DAI时下发,如果是基于VLAN的DAI,则在VLAN使能DAI是下发到VLAN上)


四 ARP报文速率限制
在城域以太网中,存在着很多针对ARP 表项的攻击,因此需要在网络的接入层或者汇聚层配置防止对ARP 表项的攻击,以保护、网络的安全性。
1 为防止大量的ARP 报文增加CPU 的负荷,以及占用大量的ARP 表项,可以配置ARP 报文速率抑制,将上送主控板处理的ARP 报文速率限制在一个合理的范围内。
2 为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARPMiss 源抑制功能,对攻击者的报文进行丢弃处理。
3 接口下使能ARP 报文检查功能后,经过接口的ARP 报文上送安全模块进行检查,为防止大量ARP 报文对安全模块的冲击,可以配置ARP 报文速率抑制,对超过速率限制的报文做丢弃处理。







打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-11 10:42
  

11.11社区也狂欢 +11 S豆 详情>

感谢楼主带来的知识分享!ARP欺骗在我们日常运维过程中经常遇到,了解它才能更好地识别和防护,点赞!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人